Palo Alto & Fortinet: de aanvallen gaan door — twee nieuwe kritieke exploits in het wild
twee nieuwe kritieke exploits in het wild voor palo alto en fortinet
Twee dagen geleden voegde CISA een nieuwe Palo Alto GlobalProtect-kwetsbaarheid toe aan haar lijst van actief misbruikte lekken. Tegelijkertijd rollen aanvallers via een gehackte FortiClient-server malware uit naar alle endpoints in een netwerk. De druk op edge devices houdt niet op.
Dit is deel 3 in de OrangeGuard-serie over firewall-kwetsbaarheden in 2026. Lees deel 1: Overzicht van alle CVEs en deel 2: Hoe bouw je een patchproces dat bijhoudt.
Overzicht nieuwe exploits
| CVE | Vendor | Product | CVSS | Status |
|---|---|---|---|---|
| CVE-2026-0257 | Palo Alto | PAN-OS GlobalProtect | 7.8 | Actief misbruikt – CISA KEV |
| CVE-2026-35616 | Fortinet | FortiClient EMS | 9.1 | Actief misbruikt – malware-uitrol |
CVE-2026-0257 — Palo Alto GlobalProtect authentication bypass
Wat is het?
Op 13 mei publiceerde Palo Alto een advisory over twee authentication bypass-kwetsbaarheden in de GlobalProtect portal- en gateway-componenten van PAN-OS. De oorzaak zit in het cookie-mechanisme: de firewall valideert en controleert de integriteit van cookies onvoldoende, waardoor een niet-geauthenticeerde aanvaller van buitenaf een ongeautoriseerde VPN-verbinding kan opzetten.
Panorama en Cloud NGFW zijn niet getroffen. Wel kwetsbaar zijn fysieke en virtuele firewalls met PAN-OS én Prisma Access.
Actief misbruik — nu
Rapid7 observeerde bij meerdere klanten succesvolle exploitatie via forged cookies. Bij 8 van de 10 getroffen MDR-klanten accepteerde het apparaat de cookie zonder dat een volledige VPN-sessie werd opgezet — wat erop wijst dat aanvallers verkenning uitvoerden en toegang testen. Laterale beweging vanuit de firewalls is tot nu toe niet waargenomen.
Het NCSC verwacht dat de schaal van misbruik de komende tijd toeneemt. Er is een publieke proof-of-concept beschikbaar. CISA heeft de CVE op 1 juni 2026 aan de Known Exploited Vulnerabilities-catalogus toegevoegd en federale instanties opgedragen het lek voor die datum te verhelpen.
Getroffen configuratie
Systemen zijn kwetsbaar wanneer HTTPS-certificaten worden hergebruikt én één van de volgende opties is ingeschakeld:
- Generate cookie for authentication override
- Accept cookie for authentication override
Wat te doen?
- Patch direct naar de gefixte PAN-OS versie (zie Palo Alto security advisory)
- Schakel de authentication override-optie uit als tijdelijke maatregel
- Genereer een nieuw, exclusief certificaat voor de override-functie als uitschakelen niet direct mogelijk is
- Controleer op IoCs — Rapid7 heeft indicators of compromise en een PoC-script gepubliceerd voor detectie
CVE-2026-35616 — Fortinet FortiClient EMS: van server naar alle endpoints
Wat is het?
Begin april waarschuwde Fortinet voor actief misbruik van een kritieke kwetsbaarheid in FortiClient EMS (Enterprise Management Server), de oplossing waarmee beheerders op afstand FortiClient-installaties op alle endpoints beheren. De CVE heeft een CVSS-score van 9.1 en maakt het mogelijk voor een niet-geauthenticeerde aanvaller om op afstand willekeurige code uit te voeren op de EMS-server — zonder inloggegevens.
De aanvalsketen
Arctic Wolf documenteerde hoe aanvallers de kwetsbaarheid in de praktijk inzetten:
- De FortiClient EMS-server wordt gecompromitteerd via CVE-2026-35616
- Via de EMS-server — die beheertoegang heeft tot alle endpoints — wordt malware uitgerold naar alle beheerde systemen in de organisatie
- De malware vermomt zich als een legitieme Fortinet-patch om detectie te omzeilen
- De infostealer-malware steelt inloggegevens en sessiecookies uit Chromium-gebaseerde browsers (Chrome, Edge) en Firefox op alle getroffen endpoints
Dit is een bijzonder gevaarlijke aanvalsketen: één kwetsbare beheerserver leidt direct tot een volledige endpoint-compromittatie in de gehele organisatie.
Wat te doen?
- Patch FortiClient EMS direct naar de versie die CVE-2026-35616 verhelpt
- Controleer op IoCs van Arctic Wolf voor deze specifieke campagne
- Audit recente software-updates die via EMS zijn uitgerold — verifieer of het legitieme Fortinet-updates betreft
- Reset browser-credentials op endpoints die via een kwetsbare EMS-server worden beheerd
- Isoleer de EMS-server van het internet als dit nog niet het geval is
Het patroon: edge devices blijven het primaire doelwit
De twee nieuwe exploits bevestigen het patroon dat al in deel 1 van deze serie zichtbaar was: aanvallers richten zich consistent op edge devices — firewalls, VPN-gateways en beheersystemen — omdat deze de grens vormen tussen internet en het interne netwerk.
Wat opvalt aan de recente campagnes:
- Supply chain-tactiek: door de EMS-server te compromitteren en malware als Fortinet-patch te verspreiden, misbruiken aanvallers het vertrouwen dat medewerkers en beheerders hebben in updates van bekende leveranciers
- Verificatie als aanvalsvector: zowel CVE-2026-0257 als eerder CVE-2026-0300 richten zich op authenticatie- en verificatiemechanismen, niet op de data zelf
- Snelheid van exploitatie: CVE-2026-0257 werd gedisclosed op 13 mei en stond op 1 juni in de CISA KEV-catalogus — 19 dagen